En nationell plattform för hotdelning
Sverige befinner sig i ett geopolitiskt läge där cyberdomänen är en del av säkerhetspolitiken. Hotaktörer återanvänder sårbarheter och lämnar spår i form av IP-adresser, domännamn och TTP:er (Tactics, Techniques and Procedures). Utpressningsangrepp och DDoS hör till de vanligaste angreppstyperna.
Trots bred samsyn om nyttan av informationsdelning har det saknats en gemensam nationell plattform. Följden har blivit att värdefull hotinformation stannat inom enskilda organisationer.
MISP-SE fyller detta strukturella gap och ligger i linje med den nationella cybersäkerhetsstrategin, NIS2-direktivet och den nya cybersäkerhetslagen.
Officiell källa: Den auktoritativa informationen om MISP-SE finns hos CERT-SE. Läs mer på CERT-SE:s officiella tjänstsida för MISP-SE.
Vad är MISP?
MISP (Malware Information Sharing Platform) är en öppen källkodsplattform utan licenskostnad. Arbetsflödet består av fem steg:
| Steg | Beskrivning |
|---|---|
| 1. Insamling | Samla in hotindikatorer |
| 2. Normalisering | Strukturera data i standardformat |
| 3. Berikning | Lägg till kontext och metadata |
| 4. Korrelering | Hitta samband mellan indikatorer |
| 5. Delning | Distribuera till anslutna organisationer |
Plattformen hanterar:
- IP-adresser och domäner
- Checksummor (hashvärden)
- SSL-certifikat
- MITRE ATT&CK-mappning
- Tidslinjer och sambandsgraf
Du ansluter via webbgränssnitt eller API. Vi rekommenderar API-integration mot SIEM, IDS och brandväggar för operativt värde. Då kan du blockera skadliga indikatorer automatiskt baserat på delad hotinformation.
Tidsplan för MISP-SE
MISP-SE öppnas för ett begränsat antal organisationer för att testa, utvärdera och utveckla processer, rutiner och teknik.
Öppning för offentlig sektor – kommuner, regioner och myndigheter kan ansöka om anslutning.
Privat sektor välkomnas när det finns förstärkt rättsligt stöd för behandling av personuppgifter kopplade till lagöverträdelser.
CERT-SE:s cyberverksamhet, inklusive MISP-SE, samlas hos Nationellt cybersäkerhetscenter (NCSC) vid FRA enligt regeringsbeslut den 20 november 2025.
Vem kan ansluta?
Anslutning:
Från 23 februari 2026 kan offentlig sektor – kommuner, regioner och statliga myndigheter – ansöka om anslutning. Privat sektor välkomnas i ett senare skede. Anslutning förutsätter att organisationen godkänner de allmänna villkoren för MISP-SE.
Anslutningsmetoder:
- Webbgränssnitt: Åtkomst via webben med federerad inloggning (SAML 2.0 eller OpenID Connect)
- Synkronisering: Egen lokal MISP-instans synkroniseras mot MISP-SE via API (MISP-till-MISP)
Nytta för olika organisationer
MISP-SE ger tillgång till Sverige-specifika artefakter som kommersiella threat feeds sällan täcker. Du fångar upp lokala hotaktörer och kampanjer mot svenska mål snabbare.
Kostnadsfri tillgång till hotinformation, även med knappa resurser. Du kan blockera skadliga indikatorer snabbare och får underlag för riskanalyser och riktade utbildningsinsatser.
Rekommendation för att komma igång
- Förankra internt: Säkra ledningsstöd och förståelse för nyttan
- Utbilda: Se till att rätt kompetens finns för att tolka och agera på hotinformation
- Börja ta emot data: Integrera hotinformation i era säkerhetssystem
- Dela när ni är redo: Bidra med egen hotinformation när förtroendet och förståelsen vuxit
Viktigt: Det är inte tvingande att dela information från dag ett. Börja med att konsumera.
Nya tjänster från CERT-SE
Utöver MISP-SE erbjuder CERT-SE flera andra tjänster:
Proaktiv skanning CERT-SE skannar proaktivt för att hjälpa organisationer att upptäcka sårbarheter i sin internetexponering.
ANTS Automatiska tekniska notifieringar om upptäckta sårbarheter.
Rådgivning Stöd och rådgivning inom cybersäkerhet.
Vanliga frågor
Du ska inte dela personuppgifter i MISP-SE. Frågan om behandling av personuppgifter, exempelvis IP-adresser, hanteras restriktivt och påverkar bland annat tidsplanen för privat sektor.
Nej, helt frivilligt men starkt rekommenderat av CERT-SE och NCSC.
Du som bidragare gör den första granskningen. CERT-SE bistår, och systemets inbyggda varningslistor hjälper till att filtrera felaktiga indikatorer.
Ja, MISP-SE har API-stöd för integration med SIEM, IDS, brandväggar och andra säkerhetssystem.
Koppling till NIS2 och cybersäkerhetslagen
MISP-SE stödjer flera krav i NIS2-direktivet och den svenska cybersäkerhetslagen:
- Incidentrapportering: Dela indikatorer kopplade till incidenter
- Riskhantering: Använd hotinformation för riskbedömningar
- Leverantörskedjans säkerhet: Identifiera hot mot underleverantörer
- Samarbete: Uppfyll krav på informationsdelning med myndigheter
Så kan Securapilot hjälpa
Securapilot hjälper dig att maximera nyttan av MISP-SE:
- Incidenthantering: Integrera hotinformation i er incidentprocess
- Riskhantering: Använd MISP-data som underlag för riskbedömningar
- NIS2-efterlevnad: Dokumentera och spåra ert arbete med hotinformation
- Leverantörsgranskning: Bevaka indikatorer kopplade till era leverantörer
Boka en demo och se hur Securapilot kan stärka ert arbete med threat intelligence.
Vanliga frågor
Vad är MISP-SE?
MISP-SE är Sveriges nationella plattform för delning av cyberhot, baserad på öppen källkod. Den drivs av CERT-SE och ger organisationer möjlighet att dela och ta emot hotinformation som IP-adresser, domäner, checksummor och TTP:er.
Vilka kan ansluta till MISP-SE?
Tjänsten öppnar för offentlig sektor – kommuner, regioner och statliga myndigheter – från 23 februari 2026. Privat sektor välkomnas i ett senare skede, när det finns förstärkt rättsligt stöd för behandling av personuppgifter. Anslutning förutsätter att organisationen godkänner de allmänna villkoren för MISP-SE.
Kostar det att ansluta till MISP-SE?
Nej, MISP-SE är helt kostnadsfritt. Plattformen bygger på öppen källkod utan licenskostnader.
Måste vi dela information för att ansluta?
Nej, det är frivilligt. Rekommendationen är att börja konsumera data och dela när förtroendet och förståelsen vuxit.