En national platform for trusselsdeling
Danmark befinder sig i en geopolitisk kontekst, hvor cyberdomænet er en integreret del af sikkerhedspolitikken. Trusselaktører – primært via ransomware-angreb og DDoS – genbruger sårbarheder og efterlader spor i form af IP-adresser, domænenavne og TTP’er (Tactics, Techniques and Procedures).
Trods bred enighed om nytten af informationsdeling har der manglet en fælles national platform. Resultatet har været, at værdifuld trusselsinformation er forblevet inden for enkelte organisationer.
MISP DK adresserer denne strukturelle mangel og ligger i tråd med den nationale cybersikkerhedsstrategi, NIS2-direktivet og den nye NIS2-lov.
Hvad er MISP?
MISP (Malware Information Sharing Platform) er en open source-platform uden licensomkostninger. Arbejdsprocessen består af fem trin:
| Trin | Beskrivelse |
|---|---|
| 1. Indsamling | Saml trusselsindikatorer |
| 2. Normalisering | Strukturer data i standardformat |
| 3. Berigelse | Tilføj kontekst og metadata |
| 4. Korrelering | Find sammenhænge mellem indikatorer |
| 5. Deling | Distribuer til tilsluttede organisationer |
Platformen håndterer:
- IP-adresser og domæner
- Checksummer (hash-værdier)
- SSL-certifikater
- MITRE ATT&CK-mapping
- Tidslinjer og sammenhængsgraf
Tilslutning sker via webgrænseflade eller API. API-integration mod SIEM, IDS og firewalls anbefales for operativ værdi – så kan blokering ske automatisk baseret på delt trusselsinformation.
Tidsplan for MISP DK
Initial lancering med 15 pilotorganisationer til test og validering.
Åbning for offentlig sektor – kommuner, regioner og myndigheder kan ansøge om tilslutning.
Privat sektor velkommen efter juridisk afklaring. Forslag behandles i relevante ministerier.
CFCS' aktiviteter – inklusive MISP DK – styrkes med udvidede nationale beføjelser.
Hvem kan tilslutte sig?
Tilslutningskrav:
Organisationen skal være etableret i Danmark og opfylde mindst ét af følgende kriterier:
- Driver kritisk eller vigtig virksomhed
- Er omfattet af NIS2-loven
- Er offentlig myndighed
- Leverer væsentlig IT-drift eller sikkerhed til ovennævnte organisationer
Tilslutningsmetoder:
- Direkte konto — Adgang via webgrænseflade
- Synkronisering — Egen lokal MISP synkroniseres mod MISP DK (anbefales)
Nytte for forskellige organisationer
MISP DK giver adgang til Danmark-specifikke artefakter som kommercielle threat feeds sjældent dækker. Lokale trusselaktører og kampagner mod danske mål fanges hurtigere.
Gratis adgang til realtids trusselsinformation trods begrænsede ressourcer. Hurtigere blokering af skadelige indikatorer og grundlag for risikoanalyser samt målrettede uddannelsesindsatser.
Anbefaling for at komme i gang
- Forankr internt — Sikr ledelsesopbakning og forståelse for nytten
- Uddann — Sørg for at den rette kompetence findes til at tolke og handle på trusselsinformation
- Begynd at forbruge — Modtag data og integrer i jeres sikkerhedssystemer
- Del når I er klar — Bidrag med egen trusselsinformation når tilliden og forståelsen er vokset
Vigtigt: Det er ikke tvingande at dele information fra dag ét. Begynd med at forbruge.
Nye tjenester fra CFCS
Udover MISP DK lancerer CFCS yderligere tjenester:
Scanning Systematisk identifikation af organisationens angrebsflade – en videreudvikling af eksisterende scanning-tjenester.
National monitorering Kontinuerlig overvågning af danske organisationers eksponering mod internettet. Levering via private aktører med CFCS’ koordinering. Lanceres senere i 2026.
Almindelige spørgsmål
Personoplysninger bør ikke deles i MISP DK. Systemet har indbyggede kontroller. Datatilsynets fortolkning af IP-adresser som personoplysninger er under afklaring.
Nej, helt frivillig men stærkt anbefalet af CFCS.
Bidragyder foretager første vurdering, CFCS bistår, og systemets indbyggede warning lists hjælper med at filtrere fejlagtige indikatorer.
Ja, MISP DK har API-support til integration med SIEM, IDS, firewalls og andre sikkerhedssystemer.
Kobling til NIS2 og NIS2-loven
MISP DK understøtter flere krav i NIS2-direktivet og den danske NIS2-lov:
- Incidentrapportering — Del indikatorer tilknyttet incidenter
- Risikostyring — Brug trusselsinformation til risikovurderinger
- Leverandørkædens sikkerhed — Identificer trusler mod underleverandører
- Samarbejde — Opfyld krav om informationsdeling med myndigheder
Sådan kan Securapilot hjælpe
Securapilot støtter organisationer, der vil maksimere nytten af MISP DK:
- Incidenthåndtering — Integrer trusselsinformation i jeres incidentproces
- Risikostyring — Brug MISP-data som input til risikovurderinger
- NIS2-compliance — Dokumenter og spor jeres arbejde med trusselsinformation
- Leverandørgranskning — Overvåg indikatorer tilknyttet jeres leverandører
Book en demo og se hvordan Securapilot kan styrke jeres arbejde med threat intelligence.
Ofte stillede spørgsmål
Hvad er MISP DK?
MISP DK er Danmarks nationale platform for deling af cybertrusler, baseret på open source. Den drives af CFCS og giver organisationer mulighed for at dele og modtage trusselsinformation som IP-adresser, domæner, checksummer og TTP'er.
Hvem kan tilslutte sig MISP DK?
Organisationer etableret i Danmark som driver kritisk virksomhed, er omfattet af NIS2-loven, er offentlige myndigheder, eller leverer væsentlig IT-drift/sikkerhed til sådanne organisationer. Offentlig sektor fra 23. februar 2026, privat sektor senere i 2026.
Koster det at tilslutte sig MISP DK?
Nej, MISP DK er helt gratis. Platformen bygger på open source uden licensomkostninger.
Skal vi dele information for at tilslutte os?
Nej, det er frivilligt. Anbefalingen er at begynde med at forbruge data og dele når tilliden og forståelsen er vokset.
