En nasjonal plattform for trusseldeling
Norge befinner seg i en geopolitisk kontekst hvor cyberdomenet er en integrert del av sikkerhetspolitikken. Trusselaktører – hovedsakelig via utpressingsangrep og DDoS – gjenbruker sårbarheter og etterlater spor i form av IP-adresser, domenenavn og TTP-er (Tactics, Techniques and Procedures).
Til tross for bred enighet om nytten av informasjonsdeling har det manglet en felles nasjonal plattform. Resultatet har vært at verdifull trusselinformasjon har blitt værende innenfor enkeltstående organisasjoner.
MISP NO adresserer denne strukturelle mangelen og er i tråd med den nasjonale cybersikkerhetsstrategien, NIS2-direktivet og den nye digitalsikkerhetsloven.
Hva er MISP?
MISP (Malware Information Sharing Platform) er en åpen kildekodeplattform uten lisenskostnad. Arbeidsflyten består av fem trinn:
| Trinn | Beskrivelse |
|---|---|
| 1. Innsamling | Samle inn trusselindikatorer |
| 2. Normalisering | Strukturere data i standardformat |
| 3. Berikelse | Legge til kontekst og metadata |
| 4. Korrelering | Finne sammenhenger mellom indikatorer |
| 5. Deling | Distribuere til tilkoblede organisasjoner |
Plattformen håndterer:
- IP-adresser og domener
- Sjekksummer (hash-verdier)
- SSL-sertifikater
- MITRE ATT&CK-mapping
- Tidslinjer og sammenhengsgraf
Tilkobling skjer via webgrensesnitt eller API. API-integrasjon mot SIEM, IDS og brannmurer anbefales for operativ verdi – da kan blokkeringer skje automatisk basert på delt trusselinformasjon.
Tidsplan for MISP NO
Første lansering med 15 pilotorganisasjoner for testing og validering.
Åpning for offentlig sektor – kommuner, fylkeskommuner og statlige virksomheter kan søke om tilkobling.
Privat sektor velkommen etter at lovverket er styrket. Forslag ligger hos regjeringen.
CERT-NO sin virksomhet – inkludert MISP NO – flyttes inn i det styrkede NCSC under NSM.
Hvem kan koble til?
Tilkoblingskrav:
Organisasjonen skal være etablert i Norge og oppfylle minst ett av følgende kriterier:
- Driver beskyttelsesverdig virksomhet
- Omfattes av digitalsikkerhetsloven
- Er statlig myndighet
- Leverer vesentlig IT-drift eller sikkerhet til ovennevnte organisasjoner
Tilkoblingsmetoder:
- Direkte konto — Tilgang via webgrensesnitt
- Synkronisering — Egen lokal MISP synkroniseres mot MISP NO (anbefales)
Nytte for ulike organisasjoner
MISP NO gir tilgang til Norge-spesifikke artefakter som kommersielle threat feeds sjelden dekker. Lokale trusselaktører og kampanjer mot norske mål fanges opp raskere.
Kostnadsfri tilgang til sanntids trusselinformasjon til tross for knappe ressurser. Raskere blokkering av skadelige indikatorer og grunnlag for risikoanalyser samt målrettede opplæringstiltak.
Anbefaling for å komme i gang
- Forankre internt — Sikre lederstøtte og forståelse for nytten
- Utdann — Sørg for at riktig kompetanse finnes for å tolke og handle på trusselinformasjon
- Start med å konsumere — Motta data og integrer i deres sikkerhetssystemer
- Del når dere er klare — Bidra med egen trusselinformasjon når tilliten og forståelsen har vokst
Viktig: Det er ikke påkrevd å dele informasjon fra dag én. Start med å konsumere.
Nye tjenester fra NSM
I tillegg til MISP NO lanserer NSM flere tjenester:
Skanning Systematisk identifisering av organisasjonens angrepsflatе – en videreutvikling av tjenesten ENS (Ekstern nettverksskanning).
Nasjonal monitorering Kontinuerlig overvåking av norske organisasjoners eksponering mot internett. Levering via private aktører med NSMs koordinering. Lanseres senere i 2026.
Vanlige spørsmål
Personopplysninger skal ikke deles i MISP NO. Systemet har innebygde kontroller. Datatilsynets tolkning av at IP-adresser kan utgjøre personopplysninger er under behandling.
Nei, helt frivillig men sterkt anbefalt av NSM og NCSC.
Bidragsyteren gjør første granskning, NSM bistår, og systemets innebygde warning lists hjelper til med å filtrere feilaktige indikatorer.
Ja, MISP NO har API-støtte for integrasjon med SIEM, IDS, brannmurer og andre sikkerhetssystemer.
Kobling til NIS2 og digitalsikkerhetsloven
MISP NO støtter flere krav i NIS2-direktivet og den norske digitalsikkerhetsloven:
- Hendelsesrapportering — Dele indikatorer knyttet til hendelser
- Risikohåndtering — Bruke trusselinformasjon til risikovurderinger
- Leverandørkjedens sikkerhet — Identifisere trusler mot underleverandører
- Samarbeid — Oppfylle krav om informasjonsdeling med myndigheter
Slik kan Securapilot hjelpe
Securapilot støtter organisasjoner som vil maksimere nytten av MISP NO:
- Hendelseshåndtering — Integrer trusselinformasjon i deres hendelsesprosess
- Risikohåndtering — Bruk MISP-data som input til risikovurderinger
- NIS2-compliance — Dokumenter og spor deres arbeid med trusselinformasjon
- Leverandørgranskning — Overvåk indikatorer knyttet til deres leverandører
Book en demo og se hvordan Securapilot kan styrke deres arbeid med threat intelligence.
Ofte stilte spørsmål
Hva er MISP NO?
MISP NO er Norges nasjonale plattform for deling av cybertrusler, basert på åpen kildekode. Den drives av NSM og gir organisasjoner mulighet til å dele og motta trusselinformasjon som IP-adresser, domener, sjekksummer og TTP-er.
Hvem kan koble til MISP NO?
Organisasjoner etablert i Norge som driver beskyttelsesverdig virksomhet, omfattes av digitalsikkerhetsloven, er statlig myndighet, eller leverer vesentlig IT-drift/sikkerhet til slike organisasjoner. Offentlig sektor fra 23. februar 2026, privat sektor senere i 2026.
Koster det å koble til MISP NO?
Nei, MISP NO er helt kostnadsfritt. Plattformen bygger på åpen kildekode uten lisenskostnader.
Må vi dele informasjon for å koble til?
Nei, det er frivillig. Anbefalingen er å starte med å konsumere data og dele når tilliten og forståelsen har vokst.
